AD Gruppen – wer steckt wo drin

Ob ein Nutzer Zugriff auf eine bestimmte Ressource, eine Tabelle oder einen Datenraum besitzt, lässt meist leicht nachvollziehen, wenn der Nutzer mit seiner Login-Kennung direkt an dem zu berechtigenden Objekt notiert ist. Auf Grund der Wartbarkeit und der einfacheren Verwaltung werden auf den meisten produktiven Systemen die Berechtigungen aber auf der Ebene von Gruppen vergeben und nicht an die einzelnen Nutzer gehängt. Dann gilt es nachzuvollziehen, welcher Nutzer in welcher Gruppe steckt.
Dieser Blogbeitrag stellt im Folgenden ein paar Methoden vor, mittels derer herausgefunden werden kann, welche User in einer Gruppe enthalten sind.


Berechtigungen auf produktiven Systemen werden idealerweise nicht für einzelne User vergeben, sondern sie werden auf der Ebene von AD-Gruppen gesetzt. Für die Pflege der Nutzer-Gruppen-Zuordnungen ist meist die IT verantwortlich. Die AD-Gruppe, welche an ein bestimmtes Lese- oder Schreibrecht gehängt wurde, erscheint uns dann als Black-Box. Daher ist gerade im Fehlerfall die Prüfung, ob der entsprechende User auch in der berechtigten AD-Gruppe enthalten ist, häufig der letzte Schritt in der Kette. Im Folgenden stellen wir Ihnen einige Methoden vor, mittels derer Sie herausfinden können, welche User in welcher AD-Gruppe enthalten sind.

Methode via Windows Explorer:

Öffnen Sie den Windows-Explorer (Windowstaste + E). Stellen Sie sich in der TreeView Ansicht des Explorers links auf Netzwerk [1]. Anschließend klicken Sie oben auf Active Directory durchsuchen [2].

Windows Explorer

Dadurch öffnet sich ein Suchdialog, in welchem Sie die zu durchsuchende AD-Gruppe eintragen.

Suchdialog

[Hinweis: Diese kann auch bereits über einen Teil ihres Namens gefunden werden.]

Nach einem Doppelklick auf die entsprechende AD-Gruppe erscheint ein weiteres Fenster, welches alle Mitglieder der Gruppe auflistet.

lle Mitglieder der Gruppe

Auch können in der Liste weitere Gruppen auftauchen. In diesem Fall wären die obigen Schritte rekursiv zu wiederholen, um alle enthaltenen User aufzufinden.

Methode via cmd

Der einzugebende Befehl lautet:

NET GROUP <Name der AD-Gruppe> /DOMAIN

<Name der AD-Gruppe> ist dabei durch Ihre zu durchsuchende AD-Gruppe zu ersetzen.

Cmd

Hierbei werden allerdings nur die in der Gruppe direkt enthaltenen User, nicht die möglicherweise zusätzlich enthaltenen Gruppen aufgelistet. Außerdem haben Sie möglicherweise nicht auf jedem System die Berechtigung, um Befehle über die Command-Shell aufzurufen. Sollten Sie allerdings die notwendigen Berechtigungen besitzen, können Sie hier auch andersherum leicht prüfen, in welchen Gruppen ein bestimmter User als Mitglied enthalten ist.

Der Befehl dafür lautet:

NET USER <username> /DOMAIN 

Methode via ADExplorer

Der ADExplorer ist ein externes Tool und sei hier nur der Vollständigkeit halber erwähnt. Dieses kleine Programm findet sich in der Werkzeugkiste vieler Administratoren. Mittels des ADExplorers erhalten Sie die detailliertesten Informationen über das Acitve Directory. Sie benötigen dafür allerdings auch die Adresse des DomainControllers und einen gültigen Zugang.

ADExplorer
Screenshot ADExplorer, Beispiel von https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer

Schreibe einen Kommentar